你的芯片卡安全吗？这可能主要取决于你的银行账户

知名安全网站 KrebsOnSecurity近日发文称，以芯片为基础的信用卡和借记卡的设计，是为了让盗刷设备或恶意软件无法在你通过蘸取芯片而非刷卡条付款时克隆你的卡。但最近一系列针对美国商户的恶意软件攻击表明，盗贼正在利用某些金融机构实施该技术的弱点，绕过关键的芯片卡安全功能，有效地制造可用的伪卡。

传统的支付卡将持卡人的账户数据以纯文本形式编码在磁条上，磁条可以被窃取设备或偷偷安装在支付终端上的恶意软件读取和记录。然后，这些数据可以被编码到任何其他带有磁条的东西上，并用于进行欺诈性交易。

较新的基于芯片的卡采用了一种被称为EMV的技术，对存储在芯片中的账户数据进行加密。该技术导致每次芯片卡与芯片功能的支付终端交互时，都会产生一个独特的加密密钥--称为令牌或 "cryptogram"。

实际上，所有基于芯片的卡片仍然有很多相同的数据，这些数据存储在卡片背面的磁条上编码的芯片中。这主要是出于向后兼容性的考虑，因为许多商家--尤其是美国的商家--仍然没有完全实现芯片卡读卡器。这种双重功能还允许持卡人在卡的芯片或商家的EMV终端因某种原因发生故障时，可以刷磁条。

但EMV芯片与磁条上存储的持卡人数据有重要区别。其中之一是芯片中的一个被称为集成电路卡验证值或简称 "iCVV "的组件--也被称为 "动态CVV"。iCVV不同于存储在物理磁条上的卡验证值(CVV)，它可以防止从芯片中复制磁条数据，并利用这些数据制造伪造的磁条卡。iCVV和CVV值都与卡背面明显印制的三位数安全码无关，主要用于电子商务交易或通过电话进行卡片验证。

EMV方式的魅力在于，即使有盗刷者或恶意软件成功拦截到芯片卡浸泡时的交易信息，这些数据也只对这一次交易有效，应该不会让盗贼继续用它进行欺诈性支付。

然而，为了让EMV的安全保护措施发挥作用，发卡金融机构部署的后端系统应该检查当芯片卡浸入芯片读卡器时，只出示iCVV；反之，刷卡时只出示CVV。如果这些在某种程度上与某一交易类型不一致，金融机构就应该拒绝该交易。

问题是，并不是所有的金融机构都以这种方式正确地设置了他们的系统。不足为奇的是，盗贼多年来一直知道这个弱点。2017年，Brian Krebs 曾写过一篇关于 "闪烁器 "日益盛行的文章，这是一种为拦截芯片卡交易数据而制作的高科技银行卡盗刷装置。

最近，Cyber R&D实验室的研究人员发表了一篇论文，详细介绍了他们是如何测试欧洲和美国10家不同银行的11种芯片卡实现的，研究人员发现他们可以从其中的4种芯片卡中采集数据，并创建克隆的磁条卡，并成功地用于放置交易。

现在有强烈的迹象表明，Cyber R&D Labs详述的同样的方法正在被销售终端（POS）恶意软件用于捕获EMV交易数据，然后可以转售并用于制造基于芯片卡的磁条副本。

本月早些时候，全球最大的支付卡网络Visa发布了一份安全警报，内容涉及最近发生的一起商户泄密事件，已知的POS恶意软件系列显然被修改为针对EMV芯片的POS终端。

“安全接受技术的实施，如EMV®芯片，大大降低了威胁行为者对支付账户数据的可用性，因为可用数据仅包括个人账户号码（PAN），集成电路卡验证值（iCVV）和到期日期，”Visa写道。“因此，只要iCVV得到正确的验证，假冒欺诈的风险是最小的。此外，许多商户所在地采用了点对点加密(P2PE)，对PAN数据进行加密，进一步降低了以EMV芯片处理的支付账户的风险。”

Visa没有列出受影响商户的名字，但美国东北部的连锁超市Key Food Stores Co-Operative Inc.似乎也发生了类似的事情。Key Food最初在2020年3月披露了一起银行卡数据泄露事件，但两周前更新了咨询，澄清EMV交易数据也被截获。

“涉及的商店地点的POS设备是启用EMV的，”Key Food解释说。“对于这些地点的EMV交易，我们相信只有卡号和到期日会被恶意软件发现（但不会发现持卡人姓名或内部验证码）。”

虽然Key Food的声明在技术上可能是准确的，但它掩盖了一个现实，即在发卡银行没有正确实施EMV的情况下，被窃取的EMV数据仍然可以被欺诈者用来创建磁条版的EMV卡呈现在被入侵的商店收银机上。

此前欺诈情报公司Gemini Advisory发布了一篇博客文章，提供了更多关于最近的商户入侵事件的信息--包括Key Food，在这些事件中，EMV交易数据被窃取，并最终在迎合盗卡者的地下商店出售。

“这次数据泄露事件中被盗的支付卡在暗网中提供销售，”Gemini解释说。“在发现这个漏洞后不久，几家金融机构证实，这次漏洞中被泄露的卡都是按EMV处理的，并没有依靠磁条作为备用。”

Gemini表示，它已经核实最近的另一起数据泄露事件--在佐治亚州的一家酒类商店--也导致了被泄露的EMV交易数据出现在出售被盗卡数据的暗网商店中。正如Gemini和Visa所指出的那样，在这两种情况下，银行适当的iCVV验证应该会使这些被截获的EMV数据对骗子毫无用处。

Gemini认定，由于受影响的商店数量众多，参与这些数据泄露事件的盗贼使用物理安装的EMV卡闪光灯拦截EMV数据的可能性极小。

“鉴于这种策略极其不切实际，他们很可能使用不同的技术远程入侵POS系统，以收集足够的EMV数据来进行EMV旁路克隆，”该公司写道。

Gemini的研发总监Stas Alforov表示，没有进行这些检查的金融机构有可能失去注意到这些卡被用于欺诈的能力。这是因为许多发行了芯片卡的银行可能会认为，只要这些卡用于芯片交易，就几乎不存在这些卡被克隆并在地下出售的风险。因此，当这些机构在欺诈交易中寻找模式，以确定哪些商户可能会被POS恶意软件入侵时，他们可能会完全不考虑任何基于芯片的支付，而只关注那些客户刷过卡的商户。

“卡网络正在抓住现在有更多基于EMV的数据泄露事件发生这一事实，”Alforov说。“像大通或美国银行这样的大型发卡机构确实在检查[iCVV和CVV之间的不匹配]，并将撤回不匹配的交易。但一些小机构的情况显然不是这样。”

银行芯片卡与磁条卡区别

芯片卡和磁条卡的区别：

一、介质不同

芯片银行卡即是金融IC卡，它是以芯片作为介质的银行卡，卡的正面有一个芯片，支持闪付功能。而磁条卡是利用磁性载体记录英文与数字信息，用来标志身份或其它用途的卡片。通过定义可以看出，二者载体不同，一个是利用芯片，一个是利用磁条。当然芯片卡又分为分为纯芯片卡和磁条芯片复合卡，磁条芯片复合卡比磁条卡多了一块芯片。

二、安全系数不同

芯片卡的容量大（储存量是磁条卡的160倍），可存储密匙、数字证书、指纹等信息，卡上有读写保护好数据加密保护，并且在使用保护上采取个人密码、卡与读写器双向认证，防止卡片数据被复制，具有更高的安全性。磁条卡在通过写磁设备后会被不法分子利用进行伪卡的盗刷，安全系数较低。

三、工作原理不同

芯片卡比磁条卡多了个芯片，在付款时除了要刷磁条外，还要验证芯片。

拓展资料

一、芯片卡

芯片卡，又称IC卡，是指以芯片作为交易介质的卡。芯片卡不仅支持借贷记、电子现金、电子钱包、脱机支付、快速支付等多项金融应用，还可以应用于金融、交通、通讯、商业、教育、医疗、社保和旅游娱乐等多个行业领域，真正实现一卡多能，为客户提供更丰富的增值服务。

二、磁条卡

磁卡是一种卡片状的磁性记录介质，利用磁性载体记录字符与数字信息，用来标志身份或其它用途。磁卡由高强度、耐高温的塑料或纸质涂覆塑料制成，能防潮、耐磨且有一定的柔韧性，携带方便、使用较为稳定可靠。例如我们使用的银行卡，就是一种最常见的磁条卡。

相关问答

工商银行芯片ic卡有什么好处-其他问题知识问答-我爱卡

[回答]我给你介绍一下工商银行芯片ic卡的好处:(1)卡片有效期不同,原磁条卡卡片有效期为3年,IC卡有效期为10年。(2)交易时读取的方式不同,磁...

IC卡是银行卡吗?-其他问题知识问答-我爱卡

[回答]lC卡是银行卡。IC卡是集成电路芯片银行卡,lC卡比磁条卡安全性高,卡内数据很难被复制,芯片卡不但具有普通磁条银行卡所有的金融功能,还具备电子现金...

银行卡芯片的容量有多大

银行卡芯片容量为8Kbit金融IC卡又称为芯片银行卡,是以芯片作为介质的银行卡。芯片卡容量大,可以存储密钥、数字证书、指纹等信息,其工作原理类似于微型计算机...

为什么一些银行卡有IC芯片一些没有啊-汇财吧专业问答test

[回答]现阶段还是磁条卡和IC卡混用的阶段,所以部分银行有IC卡,部分银行没有IC卡;为了提高银行卡的安全性,现在所有银行都在逐步使用芯片磁条混合卡,替代单...

银行卡上的芯片是镀金的吗?

不是芯片材料是硅,硅怎么来的呢?没错,加热沙子制作出来的。当然还包括另外一些金属,主要是铝和铜。银行卡芯片一般是用硅半导体制造的。芯片(IntegratedCi...

建行信用卡是芯片卡吗?|建行信用卡_融360

[最佳回答]如果你的信用卡是双标识卡,即银联-VISA或者银联-万事达的,那么到目前为止是没有发行IC芯片卡的,在这点上,其他银行也是一样的考虑到芯片卡的安全性,...

金融ic卡是什么卡?-其他问题知识问答-我爱卡

[回答]金融ic卡是一种以芯片作为介质的银行卡,也可以称为芯片卡,主要是通过嵌入卡中的集成电路芯片来存储数据信息的。金融ic卡具有体积小、容量大、安全...

芯片银行卡可以复制吗?

芯片的银行卡也是可以复制的,但是芯片银行卡的复制属于高科技的复制,靠着一般人是无法进行复制的,只有专业的技术演员勇者专业的技术才可能复制出样的芯片银行...

建行的信用卡标准IC金是什么意思?-其他问题知识问答-我爱卡

[回答]就是标准单币种ic信用卡金卡。这就是建行的一张标准的信用卡,不过另外还有一个ic芯片的。以后除了可以使用磁条消费以外,这张卡还有一个电子现金钱...

银行卡芯片坏如何取钱呢?-其他问题知识问答-我爱卡

[回答]银行卡芯片坏了用卡在ATM机上是取不了钱的,但是可以通过别的方式取款,如下:1、无卡取款。到银行提款机进行无卡取款操作,前提是知道自己的银行卡账...